例:EXシリーズスイッチでのMPLS CCC上のMACsecの設定
この例では、MACsec が基本的な MPLS CCC を介して、あるサイトのユーザーから別のサイトのユーザーに移動する機密性の高いトラフィックを保護する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
MPLS ネットワークで PE およびプロバイダ スイッチとして使用される 3 台の EX4550 スイッチ
-
サイト A を MPLS ネットワークに接続する CE スイッチとして使用される EX4550 スイッチ 1 台
-
サイト B を MPLS ネットワークに接続する CE スイッチとして使用する SFP+ MACsec アップリンク モジュールを設置した EX4200 スイッチ 1 台
-
MPLS ネットワーク(PE1、PE2、プロバイダ スイッチ)内のすべての EX4550 スイッチで実行されている Junos OS リリース 12.2R1 以降
-
Junos OS リリース 13.2X50-D15(制御バージョン)以降が、サイト A の CE スイッチとサイト B の CE スイッチで実行されている
手記:MACsecを有効にするには、ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)ソフトウェアの管理バージョンをダウンロードする必要があります。MACsecソフトウェア サポートは、デフォルトでスイッチにインストールされる国内バージョンのJunos OSソフトウェアでは利用できません。制御されたバージョンのJunos OSソフトウェアには、国内バージョンのJunos OSで利用可能なすべての機能が含まれており、MACsecもサポートしています。MACsecソフトウェア要件の詳細については、 メディアアクセス制御セキュリティ(MACsec)について を参照してください。
-
サイトAのCEスイッチとサイトBのCEスイッチにインストールされたMACsec機能ライセンス
手記:MACsecのソフトウェアライセンスを購入するには、ジュニパーネットワークスの営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーネットワークスの営業担当者が、機能ライセンス ファイルとライセンス キーを提供します。スイッチのシャーシ シリアル番号を入力するように求められます。シリアル番号は、
show virtual-chassisまたはshow chassis hardwareコマンドを実行して取得できます。
概要とトポロジー
この例では、財務上の機密性の高い会社のデータは、多くの場合、サイト A のユーザーとサイト B のユーザーの間で送信されます。企業は、サイト A のユーザーからサイト B のユーザーに移動するすべてのネットワーク トラフィックのセキュリティを確保し、攻撃者が表示したり破損したりできないようにしたいと考えています。同社は、MACsecが提供する業界標準のレイヤー2セキュリティを使用しており、攻撃者にデータを見られないようにするための暗号化と、送信データが破損していないことを確認する整合性チェックを提供し、サイト間を接続するMPLSクラウドを介してCCC上を移動するすべてのトラフィックを保護します。両方のサイトでVLANが設定されており、2人のユーザー間を移動するトラフィックがMACsecで保護されたCCCを介してサイトを通過するようになっています。
この例の MPLS ネットワークには、PE1 と PE2 の 2 つのプロバイダー エッジ(PE)スイッチと、1 つのプロバイダー(トランジット)スイッチが含まれています。PE1 はサイト A の CE(カスタマー エッジ)スイッチを MPLS ネットワークに接続し、PE2 はサイト B の CE スイッチを MPLS ネットワークに接続します。サイトAとサイトBのCEスイッチを接続するCCCでMACsecが有効になっており、CCCを介してサイト間を移動するトラフィックを保護します。ユーザーをCEスイッチに接続するインターフェイス、サイトAのCEスイッチ上のインターフェイスge-0/0/0およびサイトBのCEスイッチ上のインターフェイスge-0/0/2、およびCEスイッチをMPLSクラウドに接続するインターフェイス(サイトAのCEスイッチではge-0/0/0、サイトBのCEスイッチではxe-0/1/0)を含むVLAN。 は、ユーザー間のすべてのトラフィックをMACsecで保護されたCCCに誘導するために使用されます。
図 1 は、この例で使用されているトポロジーを示しています。MACsecで保護されたCCCトラフィックは、図のMACsec CCCとラベル付けされています。
表 1 は、このトポロジーの MPLS ネットワーク コンポーネントの概要を示しています。
表 2 は、このトポロジーで使用される MACsec 接続アソシエーションの概要を示しています。MACsecは、リンクの両端のインターフェイス上に接続アソシエーションを作成することで有効になります。リンクの両端のインターフェイスが事前共有キーを交換し(事前共有キーは接続アソシエーションで定義されます)、MACsec のリンクを保護する場合に MACsec が有効になります。
表 3 は、このトポロジーで使用される VLAN の概要を示しています。このトポロジーでは、サイトAのユーザーからサイトBのユーザーへのすべての通信をMACsecで保護されたCCCに転送するためにVLANが使用されます。
| コンポーネント | の説明 |
|---|---|
| PE1 |
PEスイッチ。 lo0:
ge-0/0/0:
ge-0/0/1:
|
| 供給者 |
プロバイダ スイッチ。 lo0:
ge-0/0/10:
xe-0/0/0:
|
| PE2の |
PEスイッチ。 lo0:
xe-0/1/0
xe-0/1/1
|
| lsp_to_pe2_xe1ラベルスイッチパス |
PE1からPE2へのラベルスイッチパス。 |
| lsp_to_pe1_ge0 ラベルスイッチ パス |
PE2からPE1へのラベルスイッチパス。 |
| 接続性の関連付け | の説明 |
|---|---|
| CCC-MACsec |
サイトAからサイトBを接続するCCCでMACsecを有効にする接続アソシエーション。 接続の関連付けは、次のインターフェイスで有効になっています。
|
| VLAN | の説明 |
|---|---|
| MACsec |
サイトAのユーザーとサイトBのユーザー間のトラフィックをMACsecで保護されたCCCに誘導するVLAN。 VLANには、次のインターフェイスが含まれます。
|
MPLS の設定
このセクションでは、MPLS ネットワークの各スイッチで MPLS を設定する方法について説明します。
内容は次のとおりです。
スイッチPE1にMPLSを設定
CLIクイック構成
PE1 スイッチで MPLS 設定を迅速に設定するには、以下のコマンドを使用します。
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols mpls interface ge-0/0/1.0
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/1.0
set interfaces lo0 unit 0 family inet address 130.1.1.1/32
set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces ge-0/0/0 unit 0 family ccc
set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0
set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1
set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
手順
スイッチPE1でMPLSを設定するには:
-
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-PE1# set ospf traffic-engineering -
ループバック アドレスとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 -
このスイッチ(PE1)にMPLSを設定し、PE2スイッチへのLSPを設定します。
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 -
コア インターフェースで MPLS を設定します。
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0 -
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0 -
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 -
コア インターフェース アドレスの論理ユニットで
family mplsを設定します。[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls -
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc -
PE1からPE2へのインターフェースベースCCCを設定します。
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
業績
設定の結果の表示:
user@PE-1> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ccc;
}
}
ge-0/0/1{
unit 0 {
family inet {
address 130.1.5.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.1/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
connections {
remote-interface-switch ge-1-to-pe2 {
interface ge-0/0/0.0;
transmit-lsp lsp_to_pe2_xe1;
receive-lsp lsp_to_pe1_ge0;
}
}
}
プロバイダ スイッチでの MPLS の設定
CLIクイック構成
プロバイダ スイッチで MPLS 設定を迅速に行うには、次のコマンドを使用します。
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/10.0
set protocols ospf area 0.0.0.0 interface xe-0/0/0.0
set protocols mpls interface ge-0/0/10.0
set protocols mpls interface xe-0/0/0.0
set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
set protocols rsvp interface lo0.0
set protocols rsvp interface ge-0/0/10.0
set protocols rsvp interface xe-0/0/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.2/32
set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24
set interfaces ge-0/0/10 unit 0 family mpls
set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
set interfaces xe-0/0/0 unit 0 family mpls
手順
プロバイダ スイッチを設定するには。
-
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-P# set ospf traffic-engineering -
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0 -
スイッチのコア・インタフェースに MPLS を設定します。
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0 -
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0 -
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 -
コア インターフェース アドレスの論理ユニットで
family mplsを設定します。[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls -
LSP を PE2 スイッチに設定します。
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
業績
設定の結果の表示:
user@switch-P> show configuration
interfaces {
ge-0/0/10 {
unit 0 {
family inet {
address 10.1.5.1/24;
}
family mpls;
}
}
xe-0/0/0 {
unit 0 {
family inet {
address 10.1.9.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.2/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
mpls {
label-switched-path lsp_to_pe2_xe1 {
to 130.1.1.3;
}
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/10.0;
interface xe-0/0/0.0;
}
}
}
スイッチ PE2 での MPLS の設定
CLIクイック構成
スイッチPE2でMPLS設定を迅速に設定するには、次のコマンドを使用します。
[edit]
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface xe-0/1/0.0
set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
set protocols mpls interface xe-0/1/0.0
set protocols rsvp interface lo0.0
set protocols rsvp interface xe-0/1/0.0
set interfaces lo0 unit 0 family inet address 130.1.1.3/32
set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
set interfaces xe-0/1/0 unit 0 family mpls
set interfaces xe-0/1/1 unit 0 family ccc
set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0
set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0
set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
手順
スイッチPE2を設定するには:
-
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-PE2# set ospf traffic-engineering -
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0 -
このスイッチ(PE2)に MPLS を設定し、もう一方の PE スイッチ(PE1)への LSP(ラベルスイッチパス)を設定します。
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 -
コア インターフェースで MPLS を設定します。
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0 -
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0 -
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 -
コア インターフェースの論理ユニットで
family mplsを設定します。[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls -
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc -
プライマリエッジスイッチ間のインターフェースベースのCCCを設定します。
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
業績
設定の結果の表示:
user@switch-PE2> show configuration
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.1.9.2/24;
}
family mpls;
}
}
xe-0/1/1 {
unit 0 {
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 130.1.1.3/32;
}
}
}
}
protocols {
rsvp {
interface lo0.0;
interface xe-0/1/0.0;
}
mpls {
label-switched-path lsp_to_pe1_ge0 {
to 130.1.1.1;
}
interface xe-0/1/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface xe-0/1/0.0;
}
}
connections {
remote-interface-switch xe-1-to-pe1 {
interface xe-0/1/1.0;
transmit-lsp lsp_to_pe1_ge0;
receive-lsp lsp_to_pe2_xe1;
}
}
}
MACsecの設定
このセクションでは、トポロジー内の各スイッチでMACsecを設定する方法について説明します。
内容は次のとおりです。
サイトAのCEスイッチでMACsecを設定し、サイトBへのトラフィックを保護する
CLIクイック構成
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
手順
この例では、財務上の機密データを頻繁に交換するユーザー間のトラフィックは、MPLSクラウドを介してCCC上のサイト間で送信されます。MPLS PE スイッチに接続するサイト A およびサイト B CE スイッチのインターフェイスで MACsec 接続アソシエーションを設定することにより、CCC で MACsec を有効にします。MACsecセキュア接続を確立するには、接続アソシエーションに一致する接続アソシエーション名(この例では ccc-macsec)、一致するCKN(この例では 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、およびCA(この例では 228ef255aa23ff6729ee664acb66e91f)が必要です。
サイトAをサイトBに接続するCCCでMACsecを有効にするには、サイトAのCEスイッチで以下の手順を実行します。
-
ccc-macsecという名前の接続アソシエーションを作成し、MACsecセキュリティモードを次のように設定
static-cak。[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak -
CKN と CAK を設定して、事前共有キーを作成します。
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
PE1スイッチに接続するインターフェイスに接続関連付けを割り当てます。
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsecこれで、CCC の一方の端で接続の関連付けを設定する手順は完了です。CCCのリンクの反対側(この場合はサイトB CEスイッチ上のインターフェイス)で事前共有キーが一致する接続アソシエーションが有効になるまで、MACsecは有効になりません。サイト B の CE スイッチで接続アソシエーションを構成するプロセスについては、次のセクションで説明します。
業績
設定の結果の表示:
user@switch-CE-A> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
security-mode {
static-cak;
}
}
}
interfaces {
ge-0/0/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
サイトBのCEスイッチでMACsecを設定して、サイトAへのトラフィックを保護します
CLIクイック構成
[edit]
set security macsec connectivity-association ccc-macsec security-mode static-cak
set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311
set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
手順
トラフィックは、CCCを使用してMPLSネットワークを介してサイトBからサイトAに移動します。MPLS PE スイッチに接続するサイト A およびサイト B CE スイッチのインターフェイスで MACsec 接続アソシエーションを設定することにより、CCC で MACsec を有効にします。MACsecセキュア接続を確立するには、接続アソシエーションは、一致する接続アソシエーション名(この例では ccc-macsec)、一致するCKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、一致するCA(228ef255aa23ff6729ee664acb66e91f)を有する必要があります。
サイト B をサイト A に接続する CCC で MACsec を有効にするには、サイト B の CE スイッチで次の手順を実行します。
-
ccc-macsecという名前の接続アソシエーションを作成し、MACsecセキュリティモードを次のように設定
static-cak。[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak -
CKN と CAK を設定して、事前共有キーを作成します。
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f -
スイッチPE2に接続するインターフェイスに接続性の関連付けを割り当てます。
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsecCCC で MACsec が有効になるのは、事前共有鍵が交換された後、つまりこの手順が完了した直後です。
業績
設定の結果の表示:
user@switch-CE-B> show configuration
security {
macsec {
connectivity-association {
ccc-macsec {
security-mode {
static-cak;
}
pre-shared-key {
cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA
ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311;
}
}
}
interfaces {
xe-0/1/0 {
connectivity-association {
ccc-macsec;
}
}
}
}
}
トラフィックをMACsecで保護されたCCCに誘導するVLANの設定
このセクションでは、サイト A とサイト B の CE スイッチで VLAN を設定する方法について説明します。VLAN の目的は、MACsec で保護するトラフィックを MACsec で保護された CCC に誘導することです。
サイトAのCEスイッチ上のMACsec CCCにトラフィックを誘導するようにVLANを構成する
CLIクイック構成
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.1/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
手順
サイトAのユーザーからのトラフィックをMACsecで保護されたCCCに転送するVLAN(VLAN ID 50)を作成するには:
-
macsec VLAN に ge-0/0/0 インターフェイスを設定します。
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
macsec VLAN に ge-0/0/2 インターフェイスを構成します。
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec -
macsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24 -
macsec VLAN の VLAN タグ ID を 50 に設定します。
[edit vlans] user@switch-CE-A# set macsec vlan-id 50 -
レイヤー3インターフェイスをmacsec VLANに関連付けます。
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
業績
設定の結果の表示:
user@switch-CE-A> show configuration
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.1/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
サイトB CEスイッチ上のMACsec CCCにトラフィックを誘導するようにVLANを構成する
CLIクイック構成
[edit]
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec
set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec
set interfaces vlan unit 50 family inet address 5.5.5.2/24
set vlans macsec vlan-id 50
set vlans macsec l3-interface vlan.50
手順
サイト B のユーザーのトラフィックを MACsec で保護された CCC に誘導する VLAN(VLAN ID 50)を作成するには:
-
macsec VLAN に ge-0/0/2 インターフェイスを構成します。
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
macsec VLAN に xe-0/1/0 インターフェイスを設定します。
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec -
macsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24 -
macsec VLAN の VLAN タグ ID を 50 に設定します。
[edit vlans] user@switch-CE-B# set macsec vlan-id 50 -
レイヤー3インターフェイスをmacsec VLANに関連付けます。
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
業績
設定の結果の表示:
user@switch-CE-B> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
vlan members macsec;
}
}
}
vlan {
unit 50 {
family inet address 5.5.5.2/24;
}
}
}
vlans {
macsec {
l3-interface vlan.50;
vlan-id 50;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- MACsec接続の検証
- MACsecで保護されたトラフィックがCCCを通過していることを検証する
- MPLSおよびCCCプロトコルがプロバイダエッジおよびプロバイダスイッチインターフェイスで有効になっていることの確認
- MPLS ラベル動作の検証
- MPLS CCC のステータスの検証
- OSPF 動作確認
- RSVP セッションのステータスの検証
MACsec接続の検証
目的
CCCでMACsecが動作していることを確認します。
アクション
一方または両方の CE(カスタマー エッジ)スイッチで show security macsec connections コマンドを入力します。
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
意味
Interface name:とCA name:の出力は、ccc-macsec接続アソシエーションがインターフェイスge-0/0/0で動作していることを示しています。接続アソシエーションがインターフェイスで動作していない場合、出力は表示されません。
CCCでMACsecが動作していることをさらに確認するには、もう一方のCEスイッチで show security macsec connections コマンドを入力することもできます。
MACsecで保護されたトラフィックがCCCを通過していることを検証する
目的
CCCを通過するトラフィックがMACsecで保護されていることを確認します。
アクション
一方または両方の CE スイッチで show security macsec statistics コマンドを入力します。
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
意味
Secure Channel transmitted出力の下のEncrypted packets行は、MACsecによって保護および暗号化されたインターフェイスからパケットが送信されるたびにインクリメントされます。Encrypted packets出力は、9784個の暗号化および保護されたパケットがインターフェイスge-0/0/0から送信されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で送信されます。
Secure Association received出力の下のAccepted packets行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびにインクリメントされます。Secure Association received出力の下のDecrypted bytes行は、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。出力は、9791 MACsecで保護されたパケットがインターフェイスge-0/0/0で受信され、それらのパケットから2823555バイトが正常に復号化されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で受信されます。
さらに確認するには、もう一方の CE スイッチで show security macsec statistics コマンドを入力することもできます。
MPLSおよびCCCプロトコルがプロバイダエッジおよびプロバイダスイッチインターフェイスで有効になっていることの確認
目的
MPLS が PE およびプロバイダー スイッチの正しいインターフェイスで有効になっていることを確認します。
アクション
PE スイッチとプロバイダ スイッチの両方で show interfaces terse コマンドを入力します。
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
意味
出力では、MPLS プロトコルが、MPLS トラフィックを通過するプロバイダー スイッチ インターフェイス(xe-0/0/0 および ge-0/0/10)と、MPLS トラフィックを通過する PE スイッチ インターフェイス(PE1 スイッチ上のインターフェイス ge-0/0/1、PE2 スイッチ上のインターフェイス xe-0/1/0)で稼働していることを確認します。
また、出力では、CE スイッチに面した PE スイッチ インターフェイス(PE1 スイッチ上のインターフェイス ge-0/0/0 と PE2 スイッチ上のインターフェイス xe-0/1/1)で CCC が有効になっていることも確認されます。
MPLS ラベル動作の検証
目的
CCC の始点としてどのインターフェースが使われているか、MPLS パケットをネクスト ホップにプッシュするためにどのインターフェースが使われているかを検証します。
アクション
片方または両方の PE スイッチの show route forwarding-table family mpls を入力します。
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
意味
この出力は、CCC がインターフェイス ge-0/0/0.0 で設定されていることを確認します。スイッチは、ge-0/0/1.0でイングレス トラフィックを受信し、ラベル299952をパケットにプッシュし、インターフェイスge-0/0/1.0を介してスイッチを出ます。また、この出力は、スイッチがラベル 299856 の MPLS パケットを受信すると、ラベルをポップし、インターフェイス ge-0/0/0.0 を介してパケットを送信していることも示しています
MPLS ラベル動作をさらに確認するには、もう一方の PE スイッチで show route forwarding-table family mpls を入力します。
MPLS CCC のステータスの検証
目的
MPLS CCC が動作していることを確認します。
アクション
PE スイッチで show connections コマンドを入力します。
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
show connectionsコマンドは、CCC 接続のステータスを表示します。この出力は、CCC インターフェースとそれに関連する送信および受信 LSP が両方の PE スイッチでUpていることを確認します。
OSPF 動作確認
目的
OSPF が実行されていることを確認します。
アクション
プロバイダーまたは PE スイッチに show ospf neighbor コマンドを入力し、 State 出力を確認します。
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
意味
State出力は、OSPFを使用するすべてのインターフェイスでFullされるため、OSPFは動作しています。
OSPF をさらに確認するには、プロバイダー スイッチに加えて PE スイッチで show ospf neighbor コマンドを入力します。
RSVP セッションのステータスの検証
目的
RSVP セッションのステータスを検証します。
アクション
show rsvp session コマンドを入力し、各 RSVP セッションの状態がアップになっていることを確認します。
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
意味
Stateはすべての接続でUpしているため、RSVPは正常に動作しています。
さらに確認するには、プロバイダー スイッチに加えて PE スイッチの show rsvp session を入力します。